テクノロジー

ソフトウエアの作り手側は脆弱性の克服などセキュリティー対策に尽力すべきだ

宮本久仁男氏

宮本久仁男氏

 今回は、株式会社NTTデータ(東京都江東区)品質保証部情報セキュリティ推進室の「NTTDATA-CERT(Computer Emergency Response Team)」シニアエキスパートである宮本久仁男氏の2回目。

-- 前回、宮本さんは2013年夏、日本の中央省庁がサイバー攻撃を受けたことに関し、その攻撃の中には「ゼロ・デイ脆弱性」が使われたものもあった、と言いました。ということはソフトウエアには「未発見の脆弱な部分」が多数あるということですね。

宮本 はい。どれくらいあるのか正確には分からないのですが、よく言われているのは「プログラム上の誤り・欠陥である『バグ』のないソフトウエアなどあるわけがない」ということです。また「ソフトウエアの規模が大きくなればなるほど『バグ』の数も多くなる」とも言われています。バグのうち悪用が可能だと確認されたものが「脆弱性」として管理されています。

 例えばマイクロソフト社のWindowsの場合、開発にあたっては多くの試験を実施し、脆弱性をなくそうとしていることは想像に難くありません。それでもなお見つかっていない脆弱性が多くあると考えられます。同社は毎月第2水曜日に、新たに見つかった脆弱性と、その修正ファイルを一覧表にして発表しています。それを見ると「今月はいっぱい出てきたな」と思う時もあります。

100件を超えた2013年の脆弱性の修正情報

-- これまで修正され、公開されたものはどれぐらいあったのでしょうか。

宮本 Windowsだけでなく、同社の他のソフトウエアも含めて見た場合、13年に公開された脆弱性の修正情報は100件を超えました。1件の情報に複数の脆弱性が含まれることも多いことから、報告・修正された脆弱性の数は、それ以上になるのではないでしょうか。

 ただし前回、説明したとおり、サイバー攻撃の多くは使い古された〝道具〟がまだ使われています。それは①既に攻撃方法が確立されており、低コストで実行できる②ツール化された安価なものが流通しており、簡単に入手できる--などからです。

 これに対してゼロ・デイ脆弱性を使っての「ゼロ・デイ・アタック」は少なく、全体の1%未満〜5%程度という調査結果も出ています。どうしてか。ゼロ・デイ・アタックは道具としては強力ですが、それには大変なコストがかかるからです。ですから「ここ一番」という時に使われます。例えば、09年に起きた「スタクスネット・ウイルス」によるイラン核施設に対する攻撃では、物すごいカネが掛けられ、贅沢にも4つのゼロ・デイ脆弱性が使われていました。

-- この攻撃は米国とイスラエルが共同で行ったと言われていますが。

宮本 「攻撃を絶対に成功させたい局面ではゼロ・デイ脆弱性への攻撃手段を躊躇することなく投入する」と言われています。ただし、それはカネをふんだんに出せる攻撃者の考え方と言っていいでしょう。ただ、この数カ月でゼロ・デイ脆弱性が使われる頻度が高くなってきているように見えます。油断したら足元をすくわれそうです。

-- ゼロ・デイ・アタックを受けた場合、それはすぐに分かるものですか。

宮本 即座には無理です。ただし「攻撃されたかもしれない」との疑いが持たれたPCについて汗をかきながら分析していくと、PC上で変なものが動いており、どこかの不審なホストにアクセスしているようだ、というのが2、3日で分かることもあります。しかし、どういう被害が出ているかが分かるまでには、もっと時間がかかります。

PCの利用者に脆弱性をケアさせるのはおかしい

-- コンピューターには脆弱性が付き物であることは分かりました。私たちユーザーは「脆弱性」にどう対処していけばいいのでしょうか。 

宮本 具体的によく言われているのは「OSやアプリケーション環境の最新化」と「セキュリティーソフトウエアの最新化」です。既に判明・対処されている脆弱性についてはOSやアプリケーションの最新化によって、またウイルスをはじめとするマルウエア(悪意あるソフトウエア)のうちよく使われるものにはセキュリティーソフトウエアで対応可能です。

 ゼロ・デイ脆弱性が使われた攻撃については多くの場合、感染や被害が発覚した後の対応が多くなります。このような場合には、攻撃された事実を早期に特定することが重要です。発見自体もPC単体を調査した結果だけではなく、通信記録をはじめとする証跡類の精査を行った結果が手掛かりになることも多いですね。

-- 宮本さんはかねがね「家電感覚で使っても危なくないコンピューターを提供することが作り手側の課題だ」と発言していますね。作り手側は、ソフトウエアの作り方をもっと考えてほしいということですか。

宮本 そうです。ソフトウエアを作る側は脆弱性の問題を含めてセキュリティーにもう少し気を使ってもいいのではないか、もしくはそういうふうに考える人が作り手側にもっと増えてほしい、ということです。IT業界に限らず、あらゆる業界でソフトウエアが「キーパーツ」になってきています。そうした中で日々、ソフトウエアが内包している脆弱性の脅威にさらされている利用者がいるわけです。その利用者に脆弱性をケアさせるというのは作り手側としてどうなのか、と思います。

 例えば、ある日、それまで使っていたエアコンのスイッチを入れたところ「脆弱性が見つかりました。修正ファイルを入手して、対応してください」と言われたとした場合、「何だ? これは」と思うに違いありません。それと同じです。

-- 脆弱性問題の続きと、サイバー攻撃に対処し得る人材育成への取り組みついては次回、伺いましょう。

関連記事

好評連載

エネルギーフォーカス

一覧へ

緑の経済成長とエネルギー

[連載] エネルギーフォーカス

Energy Focus

[連載] エネルギーフォーカス

電力業界のイノベーション

[連載] エネルギーフォーカス

10年後の電力業界の様相(2)

[連載] エネルギーフォーカス

発電単価から既存原発の経済性を考える

[連載] エネルギーフォーカス

日本は再生エネルギーで世界トップとなる決断を

テクノロジー潮流

一覧へ

アジア大会とノーベル賞

[連載] テクノロジー潮流

テクノロジー潮流

[連載] テクノロジー潮流

水素社会へのステップ

[連載] テクノロジー潮流

エボラ出血熱と情報セキュリティー

[連載] テクノロジー潮流

21世紀の日本のかたち 農電業と漁電業

[連載] テクノロジー潮流

工学システムの安全について

ビジネストレンド新着記事

注目企業

一覧へ

「日本初」にこだわる男のユニークな発想とビジネス――佐野秀光(情報通信ネットワークグループ社長)

「損して得を取る」事業モデル   不動産登記情報を扱う「登記簿図書館」をご存じだろうか。  かつては法務局でしか取得できなかった登記簿情報がオンラインで簡単に取得でき、かつ、法務局では対応できないさまざまなサービスを提供するというものだ。保有登記情報は全国2450万件、会員数9500社を誇る。  この登…

支持政党なし

外国人を中心に需要が高まるソーシャルレジデンスで快走―オークハウス

独自のプラットフォーム戦略で、外食産業の新たなスタンダードを創造する――きちり社長 平川昌紀

新社長登場

一覧へ

「技術立脚の理念の下、付加価値の高い香料を開発します」――高砂香料工業社長 桝村聡

創業から95年、海外に進出してから50年以上たつ国際派企業の高砂香料工業。合成香料では日本最大手であり、国際的にも6%以上のシェアを持つ優良企業だ。 100年弱の歴史を持つ合成香料のトップメーカー ── まず御社の特徴をお聞かせください。 桝村 1920年創業ですから、2020年に100周年を迎える…

桝村 聡

「ネット広告が変わってもクライアント本位の姿勢は変わりません」--バリューコマース社長 香川仁

「最新情報を発信、人と企業の働く環境を良くしていきます」--マンパワーグループ社長 池田匡弥

イノベーターズ

一覧へ

老舗コニャックメゾンがブランド強化で日本市場を深耕――Remy Cointreau Japan代表取締役 宮﨑俊治

フランスの大手高級酒グループ、レミー・コアントロー社の日本法人。18世紀から愛飲されてきた名門コニャックの「レミーマルタン」や世界有数のリキュール「コアントロー」をはじめ、スピリッツやウイスキーなど戦略的なラインアップを日本市場で展開している。同社の宮﨑俊治代表取締役に事業展開について聞いた。 &nbs…

20150609_INNOV_P02

デザイナーズ家具のEC販売で業界の“常識打破”に挑戦――リグナ社長 小澤良介

内装空間の総合プロデュースで想いをカタチに創り上げる――ユニオンテック社長 大川祐介

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸 教育部門と…

大学の挑戦

創立100周年を控えて「世界に貢献し、インパクトを与える人」の育成に努めます――西南学院大学・K.J.シャフナー学長

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

企業eye

一覧へ

社員の人間力を武器に5期連続増収を果たす投資用不動産会社――パートナーズ

パートナーズは全国の中古投資用不動産の売買仲介を手掛けている。2011年の創業以来、5期連続増収を達成。吉村社長は業績好調の原動力を「社員の人間力を養い、顧客満足度の向上に取り組む姿勢にある」と語る。── 数ある投資用不動産会社の中、独自の強みについて。吉村 当社では、社員の人間力を徹底的に磨きな…

企業eye

クラウドソーシングを活用した動画制作やオンライン動画制作プラットフォームを提供――Crevo

海外ビジネスの第一線で活躍した2400人のエキスパートを擁し、日本企業の海外事業を支援。

経済界からのお知らせ

最新号のご案内

経済界11月号
[特集]
運の科学

  • ・北尾吉孝(SBIホールディングス社長)
  • ・江口克彦(江口オフィス社長)
  • ・畑村洋太郎(畑村創造工学研究所代表)
  • ・藤井 聡(京都大学大学院工学研究科教授・内閣官房参与)
  • ・角居勝彦(日本中央競馬会調教師)
  • ・桜井章一(雀鬼会会長)

[Interview]

 安永竜夫(三井物産社長)

 「やるべきことは2つ。方向性を指し示し、トップ同士の関係を構築する」

[NEWS REPORT]

◆東芝メモリ買収の影の主役 産業革新機構の収支決算

◆電気自動車がガソリン車を駆逐するまであと10年

◆60代を迎えた孫正義 ソフトバンク300年の計への足固め

◆出版不況の風向きは変わるか!? 常識を覆すオンリーワン作戦!

[政知巡礼]

 若狭 勝(衆議院議員)

 「自民党のしがらみ政治をぶった斬りたい」

ページ上部へ戻る